NIS2 – SIND SIE BEREIT?
Die Bedeutung der Cybersicherheit war noch nie so hoch.
Vor dem Hintergrund der zunehmenden Cyberrisiken hat die EU mit der NIS2-Richtlinie neue Maßstäbe für die Cybersicherheit gesetzt. Diese umfassende Richtlinie, die am 18. Oktober 2024 in nationales Recht umzusetzen ist, zielt darauf ab, kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Unternehmen sind aufgefordert, ihre Sicherheitsmaßnahmen umgehend zu überprüfen und anzupassen, um den neuen Anforderungen gerecht zu werden.
Als Ihr Partner für Cybersicherheit unterstützen wir Sie bei diesem Übergang, damit Ihr Unternehmen die neuen Cybersicherheitsstandards einhalten kann und gegen wachsende Cyberbedrohungengeschützt ist.
SIE MÜSSEN DIE COMPLIANCE-ANFORDERUNGEN ERFÜLLEN IN:
Wir arbeiten intensiv daran, Ihnen bei diesem Übergang zu helfen und sicherzustellen, dass Ihr Unternehmen alle notwendigen Standards erfüllt und vor Cyber-Bedrohungen geschützt bleibt.
*Hornetsecurity bietet unverbindliche Beratung an, die ausschließlich zu allgemeinen Informationszwecken dient und nicht als Ersatz für rechtliche Beratung angesehen werden sollte. Bitte wenden Sie sich an Ihre Aufsichtsbehörde, wenn Sie zusätzliche Anleitung benötigen.
Was ist NIS2?
Bereits im Jahr 2013 erkannte die Europäische Union, dass die Anzahl der Cyberangriffe erheblich zunahm und eine große Herausforderung für Organisationen und Bürger darstellte. Als Reaktion darauf führte die EU im Jahr 2016 die NIS-Richtlinie (Netzwerk- und Informationssicherheit) ein, um die Cybersicherheitsfähigkeiten von Netzwerken und Infrastruktursystemen in sieben Sektoren zu verbessern, darunter Energie, Verkehr, Bankenwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen.Die 2023 in Kraft getretene NIS2-Richtlinie sieht vor, dass Unternehmen Sicherheitsmaßnahmen implementieren, um Risiken zu managen und die Auswirkungen von Cybervorfällen zu verhindern und zu minimieren.
Jetzt zum Webinar anmelden: NIS-2 Deep Dive mit Rechtsanwalt Karsten U. Bartels
Möchten Sie sicherstellen, dass Ihr Unternehmen den neuen Anforderungen der NIS2-Richtlinie entspricht? Dann ist unser Webinar genau das Richtige für Sie!
Erfahren Sie alles Wichtige zur rechtlichen Umsetzung des NIS2UmsuCG und räumen Sie Missverständnisse aus dem Weg. Sichern Sie sich wertvolle Tipps zu Anwendbarkeit, Haftung, Risikomanagement und mehr.
Was ist der Unterschied zwischen NIS und NIS2?
Mit der NIS2-Gesetzgebung erweiterte die Europäische Union den Geltungsbereich der NIS-Richtlinie von 2016 und definierte wesentliche sowie wichtige Diensteanbieter, die in den Anwendungsbereich dieser Richtlinie fallen, um die Einhaltung von Maßnahmen zum Management von Cybersicherheitsrisiken und Meldepflichten sicherzustellen.
NIS2 stärkte die Cybersicherheitsvorgaben und die Überwachung durch jeden Mitgliedstaat, indem für jeden Staat eine Aufsichtsbehörde geschaffen wurde und erstmals Sanktionen für Unternehmen eingeführt wurden, die gegen die Bestimmungen verstoßen. Diese Sanktionen umfassen die Möglichkeit, dass eine Aufsichtsbehörde eine Geldstrafe von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängen kann, je nachdem, welcher Betrag höher ist.
Bestimmte Unternehmen waren bereits Teil von NIS, dochNIS2 hat den Geltungsbereich der abgedeckten Sektoren erweitert. Wir empfehlen Ihrer Organisation, eine gründliche Überprüfung ihrer aktuellen Sicherheitspraktiken durchzuführen, um sich auf den Übergang von NIS zu NIS2 vorzubereiten. Dies sollte insbesondere die Verbesserung derFähigkeiten zur Reaktion auf Vorfälle, die Implementierung stärkerer Cybersicherheitsmaßnahmen und die Sicherstellung der Einhaltung der Sicherheitsanforderungen der NIS2-Richtlinie umfassen.
Welche Unternehmen sind von NIS2 betroffen?
Während die NIS-Richtlinie primär auf mittelgroße und große Unternehmen abzielte, erstreckt sich der Anwendungsbereich der NIS2-Richtlinie auch auf kleinere Unternehmen.
Das bedeutet, dass ab Oktober 2024 auch kleinere Organisationen mit einem Umsatz von mindestens 10 Millionen Euro und mindestens 10 Beschäftigten, je nach erbrachten Dienstleistungen, die Richtlinie NIS2 einhalten müssen.
Was sind die neuen Anforderungen und Verpflichtungen?
Die NIS2-Richtlinie führt neue Anforderungen und Verpflichtungen für Organisationen in vier zentralen Bereichen ein:
- Risikomanagement: Unternehmen müssen Maßnahmen ergreifen, um Cyberrisiken zu minimieren, einschließlich Incident-Management, verstärkter Sicherheit in der Lieferkette, verbesserter Netzwerksicherheit, besserer Zugangskontrolle und Verschlüsselung.
- Unternehmerische Verantwortung: Das Unternehmensmanagement muss die Cybersicherheitsmaßnahmen zur Bewältigung von Cyberrisiken überwachen, genehmigen und geschult werden.
- Meldepflichten: Unternehmen müssen Prozesse für die sofortige Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf ihre Dienstleistungserbringung oder -empfänger einrichten.
- Geschäftskontinuität: Sicherstellung der Geschäftskontinuität bei größeren Cybervorfällen, einschließlich Systemwiederherstellung, Notfallverfahren und der Einrichtung eines Krisenreaktionsteams. Erfahren Sie mehr.
Wie kann Hornetsecurity helfen?
Jedes Unternehmen, das unter den Geltungsbereich von NIS2 fällt, muss überprüfen, ob alle seine Lieferanten ein ähnliches Sicherheitsniveau haben. Daher müssen alle Unternehmen, die Cybersecurity-Produkte anbieten, NIS2-konform sein, um Dienstleistungen für seine Kunden anbieten zu können.
Darum ist Hornetsecurity ein großartiger Partner für alle Unternehmen, die NIS2-konform sein müssen:
- Um ein Höchstmaß an Sicherheit zu gewährleisten, haben wir ein umfassendes Cybersicherheitsprogramm implementiert. Dieses basiert auf den strengen Anforderungen der ISO 27001 und beinhaltet einen robusten Risikomanagementprozess.
- Unsere spezialisierten Teams, darunter das Computer Security Incident Response Team Lab, arbeiten kontinuierlich an der Erkennung und Abwehr von Cyberbedrohungen.
- Wir haben eine transparente Schwachstellen-Offenlegungspolitik implementiert, um die Sicherheit unserer Systeme und Technologien kontinuierlich zu verbessern.
- Unsere umfassenden Cybersicherheitsprozesse sind darauf ausgerichtet, die Sicherheit Ihrer Daten zu schützen. Als anerkannter Partner nationaler Behörden arbeiten wir aktiv daran, die europäische und globale Cyber-Resilienz zu fördern.
Die umfassende Lösung von Hornetsecurity, 365 Total Protection Compliance and Awareness, hilft Unternehmen bei der Erfüllung der NIS2-Anforderungen und deckt die Bereiche E-Mail-Security, Backup und Wiederherstellung, Compliance, Berechtigungsmanagement und Security Awareness ab. Über eine zentrale, cloudbasierte Konsole verwaltet, bietet sie umfassenden digitalen Schutz, stärkt das Vertrauen der Kunden und sichert die Geschäftskontinuität.
365 TOTAL PROTECTION COMPLIANCE & AWARENESS
SO HILFT HORNETSECURITY BEI DER ERFÜLLUNG DER NIS2 ANFORDERUNGEN
Risikomanagement:
Einrichtungen müssen Maßnahmen ergreifen, um Cyberrisiken zu minimieren, einschließlich:
Incident Management -> Inhaltsanalyse nach einem Angriff: E-Mail-Header-Analysen im CP, unveränderbare E-Mail-Body-Aufbewahrung im Archivierungssystem
Starke Sicherheit in der Lieferkette -> Unterstützung für SPF/DKIM/DMARC; AI-Empfängerüberprüfung (SMF)
Verbesserte Netzwerksicherheit -> Spam- und Malware-Filter, Advanced Threat Protection, Webfilter
Bessere Zugangskontrolle -> CP mit 2FA und Synchronisation mit Ihrem Verzeichnisdienst, 365 Permission Manager
Verschlüsselung -> Verschlüsselungsdienst (SMF), Kommunikation ist mit TLS 1.2/1.3 verschlüsselt
✅ 365 Total Protection Compliance and Awareness
✅ Advanced Threat Protection
✅ 365 Permission Manager
Betriebskontinuität:
Einrichtungen müssen Prozesse implementiert haben im Falle von:
Größeren Cybervorfällen -> Geo-redundantes Rechenzentrum
Systemwiederherstellung -> Automatisierte Backups für Mailboxen, Teams, OneDrive und SharePoint
Notfallverfahren -> E-Mail-Kontinuitätsdienst, Archivierung
Einrichtung eines Krisenreaktionsteams -> Unterstützung durch das Personal der Hornetsecurity Security Labs
✅ 365 Total Protection Compliance and Awareness
✅ Email continuity
✅ 365 Total Backup
✅ VM Backup
Unternehmerische Verantwortung:
Das Management muss:
Überwachen, genehmigen -> Gruppenberichte des Security Awareness Service mit ESI
In den Cybersicherheitsmaßnahmen des Unternehmens geschult werden, um Cyberrisiken zu adressieren -> E-Learnings des Security Awareness Service, Phishing-Kampagnen des Security Awareness Service zur Sensibilisierung
✅ 365 Total Protection Compliance and Awareness
✅ Security Awareness Service
Meldepflichten:
Einrichtungen müssen Prozesse aufsetzen für:
Unverzügliche Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf ihre Dienstleistungserbringung oder Empfänger -> Meldung von E-Mail-Bedrohungen, Statusbenachrichtigung im Falle von Serviceproblemen in Bezug auf unsere Dienste
✅ 365 Total Protection Compliance and Awareness
✅ 365 Total Protection Enterprise Backup
Welche Sanktionen gibt es?
Gemäß Artikel 32 und 33 der NIS2-Richtlinie kann die Aufsichtsbehörde tätig werden, wenn Sie die NIS2-Vorschriften nicht befolgen oder einhalten. Dies umfasst die Durchführung eigener Tests und Untersuchungen auf Grundlage der von der Organisation nach einem Cyber-Sicherheitsvorfall bereitgestellten Beweise. Diese Tests umfassen unter anderem Vor-Ort-Inspektionen, Stichproben, regelmäßige Audits und Ad-hoc-Audits.
Im Falle der Nichteinhaltung von NIS2 oder der Nichtbereitstellung aktueller Informationen können die Behörden öffentliche Warnungen aussprechen, Ihre Aktivitäten überwachen, Fristen setzen und Ihnen Ihre Betriebslizenz oder Zertifizierung entziehen, sodass Ihr Unternehmen nicht mehr operieren kann.
Wenn Unternehmen die NIS2-Richtlinie nicht einhalten, gibt es verschiedene Sanktionen:
Geldbußen
NIS2 sieht vor, dass Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Unternehmen und von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Unternehmen verhängt werden können.
Nichtmonetäre Maßnahmen
NIS2 sieht außerdem vor, dass die Mitgliedstaaten nichtmonetäre Abhilfemaßnahmen verhängen können, wie z. B. Compliance-Anordnungen, Sicherheitsaudit-Umsetzungsanordnungen, verbindliche Weisungen und Benachrichtigungen über Bedrohungen für die Kunden der Unternehmen.
Dies gilt gleichermaßen für wesentliche und wichtige Unternehmen.
Mit NIS2 können die EU-Mitgliedstaaten insbesondere die Offenlegung der Sicherheitsverletzung gegenüber der Öffentlichkeit anordnen.
IST IHRE ORGANISATION GUT VORBEREITET?
Möchten Sie sicherstellen, dass Ihre Organisation die NIS2-Anforderungen erfüllt? Erfahren Sie, wie Hornetsecurity Sie dabei unterstützen kann. Kontaktieren Sie uns jetzt!
*Hornetsecurity bietet unverbindliche Beratung an, die ausschließlich zu allgemeinen Informationszwecken dient und nicht als Ersatz für rechtliche Beratung angesehen werden sollte. Bitte wenden Sie sich an Ihre Aufsichtsbehörde, wenn Sie zusätzliche Anleitung benötigen.